본문 바로가기
AhnLab 보안in

스팸 메일의 달콤한 유혹과 진화

by 보안세상 2020. 4. 7.

2009.03.25

 

스팸 메일, 그 끝없는 진화에 대하여

 

“~~님, 주문하신 상품이 잘 접수되었습니다.”, “~~에서 귀하의 신용정보를 확인했습니다.“, “~~님에게 상품권이 도착했습니다.”, “~~님의 보험이 만기일이 다가옵니다.” 이러한 메일을 누구나 한번쯤은 받아보았을 것이다. 우리가 흔히 스팸 메일이라고 부르는 것들 중의 하나이다.

 

사전에서 스팸(Spam)이라는 단어를 찾아보면 “미국의 호멜사에서 만든 돼지고기 통조림 이름” 또는 “통신이나 인터넷을 통해 무차별적으로 대량 살포되는 광고성 전자메일”이라는 두 가지 뜻이 나온다. 우리가 흔히 먹는 스팸 통조림과 스팸 메일은 어떤 관련이 있는 것일까?

스팸 통조림을 살펴보면 다음과 같은 재미있는 사실을 발견하게 된다.

 

우리가 흔히 접하는 스팸 통조림은 1937년 한 미국의 회사에서 처음 생산되었다. 이러한 돼지고기 통조림의 이름이 왜 스팸 메일의 어원이 되었을까? 스팸에 사용하는 고기가 아마도 낮은 품질의 고기가 사용돼서 그럴 것이다. 심지어 쓰레기 같은 고기라고 표현하는 이들도 있다. 이러한 이유로 해서 정보로써 아무런 가치도 없이 바로 쓰레기통으로 들어가는 메일들을 스팸 메일이라고 부르게 된 것으로 추측된다.

 

스팸 메일의 진화를 살펴보기 전에, 먼저 스팸 통조림의 진화를 한번 살펴보자. 최근 들어서 건강을 많이 걱정하는 소비자들이 스팸 통조림을 많이 먹지 않게 되자, 스팸 통조림도 고객의 관심을 끌기 위해 변신을 시도하여 다양한 형태의 변형된 상품을 생산하게 되었다. 지방과 칼로리를 줄인 Spam Lite, 나트륨의 양을 줄인 Spam less Sodium 등. 또한, 최근의 어린이들의 입맛에 맞게 여러 가지 변형시킨 제품들을 다양하게 생산하고 있다.

 

효과적인 마케팅 수단에서 외면받기까지

그러면, 스팸 메일은 어떤가? 스팸 메일도 끊임 없이 진화하고 있다. 과거에는 광고 메일이 스팸으로 분류되지 않았다. 스팸 메일이 우리 생활에 지장을 초래할 만큼 많지 않은 시절에는 유용한 마케팅 수단으로 사용되었으며 소비자들도 새로운 정보를 받고 가끔 경품도 받을 수 있는 좋은 도구로 활용된 적도 있다.

그러나, 시간이 지나면서 모든 사람들이 메일을 광고나 마케팅에 이용하고, 심지어는 이러한 수단을 통해 금전적인 이득을 노리거나 개인의 정보를 빼앗아 가는 행위에 이용되면서 좋은 기능을 활용하고자 하는 수단까지도 빼앗아 버리게 된다. 그러면서 차차 광고성 메일이 스팸으로 분류되기 시작하고 사람들로부터 외면을 받게 되어 확인도 하지 않고 바로 쓰레기통으로 직행하게 된다.

 

내가 처음 직장 생활을 시작했던 시절, 우리 회사에서 신비로라는 포털을 처음 만들었는데 홍보를 위해서 전자 메일을 많이 활용했었다. 각종 이벤트 안내를 메일로 보내면, 많은 고객들이 문제를 풀거나 설문에 응답을 해왔고, 그에 대한 보답으로 경품을 받는 경우도 자주 있었다. 지금처럼 인터넷이 일반화되지 않은 시절이었기 때문에 당첨 확률이 꽤 높았던 것으로 기억한다.

 

지금은 너무나 많은 회사들이 전자 메일을 광고나 마케팅 수단으로 활용하고 있고, 사용자도 그 때와는 비교도 할 수 없을 만큼 많아 졌기 때문에, 좋은 정보를 구분하기도 힘들고 더구나, 경품에 당첨될 확률은 로또 만큼이나 어려워 귀찮은 쓰레기로 밖에 여겨지지 않는 것이 현실이다.

 

요즘 아파트 입구의 우체통을 보면 각종 학습지 광고나 대출 광고 전단지가 수 없이 널려 있는 것을 쉽게 볼 수가 있다. 전자메일에만 스팸이 있는 것이 아니고, 이러한 광고 전단도 스팸이다. 대부분의 사람들은 이러한 전단지를 보지도 않고 쓰레기통에 넣을 것이다. 그러면, 왜 사람들은 아무도 보지 않는 스팸 메일을 돈을 들여 제작하고, 학생들의 노동력을 착취하면서 전단지 배포를 하는 것일까? 아마도 99명이 전단지를 보지 않고 버리는 반면, 한 명이라도 보는 사람이 있을 것이고 그 때 얻을 수 있는 수익이 스팸을 제작하는데 사용된 비용보다 많기 때문일 것이다.

 

산넘고 물건너 고객에게 도달하기

전자메일을 활용한 스팸도 마찬가지일 것이다. 대부분의 스팸 메일은 스팸 필터나 각종 보안제품을 통해서 걸러지지만, 그것을 뚫고 고객에게 도달하는 것도 있을 것이고, 더욱 문제가 되는 것은 아직도 이러한 스팸 메일 의 위험성을 인식하지 못하고 아무런 보안제품도 사용하지 않는 사람들이 있기 때문에 쉽게 고객에게 전달되는 경우도 많이 있을 것이다.
또한, 스팸을 발송하는 사람들도 나날이 기술이 늘어서 스팸필터링에 걸리지 않도록 각종 수단을 개발해 내고 있다. (관련글: 안전하게 이메일을 확인하는 방법(1)_이메일 조작

스팸 메일들도 스팸으로 분류되지 않고 무사히 고객의 손에 도달하기 위해서 끊임 없는 노력을 하고 있다. 이제는 과거와 같이 개인이 주의를 기울여서 스팸 메일을 구분하고 열어보지 않기를 바라는 것은 거의 불가능 하다. 다양한 형태의 각종 보안 제품들이 스팸으로부터 보호하기 위한 기능을 탑재하고 있으며, 수많은 개발자들이 스팸을 분류하기 위해 지금도 노력하고 있다.

미 대선후 오바마 대통령 당선인 탄핵 관련 이메일이 이슈가 되었다. 이메일을 클릭하면 개인정보를 유출하는 악성코드가 다운로드 된다.

 

요즘의 스팸 메일은 제목에서부터 메일 수신자가 스팸을 인식하지 못하고, 반드시 메일을 열어 보도록 기발한 아이디어를 동원하고 있다. 과거와 같이 불특정 다수를 대상으로 하는 무차별 메일이 아니고 특정한 사람을 대상으로 정교하게 제작된 메일을 보내기 때문에 받는 사람이 스팸 메일  여부를 알아내기란 쉬운 일이 아니다.

예를 들어, 회사를 다니는 사람들을 대상으로 요즘 같이 경제가 어려운 시기에 “인사팀에서 알립니다”란 메일을 보냈을 때 이것을 스팸 메일 로 생각하고 열어보지 않을 사람은 많지 않을 것이다. 인터넷 쇼핑을 자주 이용하는 사람들을 대상으로는 “주문하신 상품이 품절입니다.”란 메일을 보냈을 경우 실제 인터넷 쇼핑을 이용하는 사람일 경우 한번쯤 메일을 열어보게 된다. 스팸 메일을 발송하는 사람은 각종 정보를 이용해서 메일 수신자의 직업이나 인터넷 이용 습관 등에 관한 정보를 가지고 있기 때문에 이러한 타겟 메일을 쉽게 만들 수 있다.

 

우리가 아무 생각 없이 각종 인터넷 사이트에 회원 가입을 하면서 제공하는 정보들이 이러한 마케팅에 사용되고 있는 것이다. 물론, 불법으로 개인정보가 유출되는 경우도 있지만, 우리가 알지 못하는 사이에 스스로 정보를 제공하게 되는 경우도 많이 있다.

 

개인정보가 돈이 되는 시대

세상에 공짜는 없다. 예를 들어, 방송국에서 지나간 방송을 인터넷 사이트에서 보기 위해서는 비용을 지불해야 한다. 비용을 지불하기를 꺼리는 소비자를 대상으로 스폰서 회사에 정보를 제공할 경우 무료로 방송을 볼 수 있도록 해준다. 겉으로는 무료이지만, 스폰서 회사에서 사용자 대신 비용을 지불하고 정보를 사가는 것이다. 소비자가 모르는 사이에 자신의 정보를 제공하게 되는 것이다. (물론 정보제공에 동의한다는 확인을 거치기는 하지만, 이것을 자세히 보는 고객은 드물다.) 이러한 형태의 정보 제공은 우리 주변에 부지기수로 많이 존재한다. 자신도 모르게 제공된 정보가 언제 어디에서 사용되는지 아무도 모르는 시대가 된 것이다.

이러한 현실에서 스팸 메일 이의 피해에 노출되지 않기 위해서 사용자들이 주의를 하는 것만으로 해결이 될까?

전자 메일을 열어 보기 전에는 반드시 안전한 메일인지 확인하는 습관이 무엇보다도 중요하겠지만, 더 중요한 것은 보안 제품을 설치하고 항상 최신의 엔진으로 업데이트하는 것이 더욱 더 중요하다. 이제는 개인의 노력이나 주의만으로는 안될 만큼 스팸 메일은 이미 진화했다는 것을 인식해야 한다. 요즘의 스팸 메일은 메일을 열었을 경우 단순히 필요 없는 정보를 보게 되어 시간을 낭비하는 것뿐만 아니라, 개인 PC에 각종 악성 프로그램을 설치하기도 하고 심지어 개인정보를 빼앗아 가는 경우도 있기 때문에 스팸 메일이 단순히 귀찮은 존재에서 우리에게 위협을 가하는 존재로 변해가고 있는 것이다.

 

그렇다면, 미래의 스팸 메일은 어떻게 진화할까? 개인을 대상으로 특화된 메일을 보내는 기술이 더 발달될 것이다. 예를 들어, 어떤 사람이 인터넷 쇼핑몰에서 디카를 사려고 검색을 하게 되면, 이 정보를 활용한 메일을 보내서 사용자의 관심을 끌 수가 있다. 또한, 병원 진료 기록과 같은 개인 사생활 정보가 유출될 경우 이 정보를 활용한 메일을 보낼 경우 사용자는 진짜 메일인지 스팸 메일인지 구분하기가 점점 어려워질 것이다.

 

따라서, 스팸 메일은 우리가 원치 않는 광고성 메일을 전달 받는다거나, 단순한 정보의 제공 차원이 아닌 개인 정보의 유출과 같은 심각한 결과를 초래할 수 있기 때문에 사용자는 메일을 열기 전에 항상 주의를 기울여야 할 뿐만 아니라, 보안제품의 사용을 생활화 해서 위험으로부터 우리 자신을 보호해야 한다.

 

다음에는 스팸 메일을 통해서 전파되는 피싱과 파밍에 대해 알아보도록 한다.<Ahn>


글 : 소프트웨어연구실 전성학 실장